5.3 數據交易服務機構安全要求

5.3.1　基本要求

數據交易服務機構應滿足以下基本要求：
a) 得到我國行政或主管部門的授權或許可；
b) 為1年內無重大數據類違法違規記錄的境內合法組織機構；
c) 具備承擔數據交易服務相對應的安全保障能力；
d) 將從事境內數據交易服務的數據交易服務平臺部署在我國境內；
e) 對數據供方提供的數據來源合法性證明材料聲明進行審核；
f) 對數據違規使用行為進行監測；
g) 制定并執行交易違規處罰規則；
h) 未經授權不擅自使用數據供方或需方的數據或數據衍生品；

5.3.2　組織安全管理要求

5.3.2.1　安全管理制度和規程

數據交易服務機構應滿足以下要求:
a) 制定數據交易服務安全管理策略，說明數據交易安全總體目標、范圍、原則和安全框架等；
b) 建立數據交易服務安全管理制度，包括但不限于：交易參與方安全管理制度、數據安全管理制度、個人信息安全保護制度等；
c) 為數據交易管理人員或操作人員執行的管理或業務操作建立操作規程；
d) 定期對數據交易服務安全管理策略、制度和規程進行評審，并及時進行更新；
e) 建立和執行針對數據供方和需方的安全管理制度和流程；

5.3.2.2　安全相關組織機構和人員

數據交易服務機構應滿足以下要求:
a) 建立數據交易安全領導小組，由機構最高管理者或授權代表擔任組長；
b) 建立數據交易安全管理職能部門，設立安全管理負責人崗位，明確安全責任；
c) 設立數據交易安全管理員、個人信息安全管理員等崗位，定義各個崗位的安全職責,并配備一定數量的崗位人員；
d) 對數據交易重要崗位人員進行安全審查和技術考核,確保無違法違規記錄；
e) 與數據交易重要崗位人員簽署安全保密協議，與重要崗位人員簽署崗位責任協議；
f) 對數據交易各類崗位人員制定和實施培訓計劃，培訓內容包括安全意識、專項技能等，具備與崗位要求相適應的安全管理知識和專業技術水平；

5.3.3　數據交易服務平臺安全要求

5.3.3.1　基本要求

數據交易服務平臺應滿足以下要求：
a) 符合GB/T 22239-XXXX中第3級的相關安全要求；
b) 提供對數據泄露進行處置的緊急預案；

5.3.3.2　擴展要求

5.3.3.2.1　交易數據安全保護

數據交易服務平臺應滿足以下要求：
a) 分別為數據供方、需方提供安全的上傳或下載接口，強身份認證機制，傳輸鏈路加密等保護措施，確保數據傳輸的安全；
b) 對交易數據實施加密存儲、訪問控制等安全措施，防止數據泄露或非法使用；
c) 實現數據源和數據操作的可追溯性，以及交易的非否認性；
d) 在托管數據交付模式下，為數據需方提供隔離安全環境，對數據需方在數據使用環境中運行的相關程序和產生的數據結果進行審核；
e) 在托管數據交付模式下，對交易數據進行安全存儲和備份，確保數據的保密性、完整性和可用性；

5.3.3.2.2　交易過程安全控制

數據交易服務平臺應滿足以下要求：
a) 允許對數據交易的參與方、對象、關鍵過程設置人工干涉功能；
b) 人工干涉的內容中至少應包括：交易參與方審核、交易審核、交易暫停、交易撤銷、交易恢復；

5.3.3.2.3　數據交易安全審計

數據交易服務平臺應滿足以下要求：
a) 對每筆數據交易操作進行記錄，生成數據交易日志；
b) 數據交易日志至少包括以下信息：交易唯一標識、交易時間、交易供方、交易需方、交易數據標識、敏感數據標簽、交易價格、交易模式、交易結果等；
c) 安全保存數據交易日志、數據來源合法性等文件至少6個月；
d) 只允許授權審計員訪問數據交易日志，支持對數據交易日志進行查詢和分析；
e) 允許數據供方和數據需方查詢與自己數據交易相關的日志信息，并允許導出；

5.3.3.2.4　數據托管服務平臺安全

對于提供托管數據交付模式的數據交易服務機構，應該遵循GB/T 35274-2017來建設和運維數據安全托管服務平臺。